AMSTERDAM - Opnieuw is een lek in de gratis maildienst van Microsoft ontdekt, Hotmail. Een zestienjarige Nederlander stelt dat iedereen in staat is een ander Hotmail-account te hacken.

Het probleem in Hotmail zit in een technologie die bekend staat onder de term cross site scripting (xss). In het verleden zijn al diverse lekken in Hotmail aan het licht gekomen die ook met xss hebben te maken. Met het nieuw ontdekte lek is iedere kwaadwillende gebruiker van Hotmail in staat een ander account te hacken, zo stelt ontdekker Adriaan Graas (16) in een toelichting aan NU.nl.

Het hacken van Hotmail bestaat kort gezegd uit het injecteren van een stuk code in het webadres van een speciaal voor dit doel aangemaakte pagina. Vervolgens kan een argeloze Hotmail-gebruiker naar deze pagina met de geïnjecteerde code worden gelokt door in een mailtje een link naar de site op te nemen. "Een melding als 'Klik hier voor mijn vakantiefoto's' is genoeg", aldus Graas.

Een ingelogde Hotmail-gebruiker stuurt dan via de geïnjecteerde code zijn logincookie - het bestand waarmee Hotmail bijhoudt of de gebruiker is ingelogd - naar de computer van de hacker.

Inloggen

Voor hem is het vervolgens een peulenschil om met deze cookie-informatie zelf in te loggen op het account van het slachtoffer. Daarbij kan hij alle handelingen uitvoeren die de normale Hotmail-gebruiker ook zou kunnen doen, zo stelt Graas.

De tiener heeft naar eigen zeggen het lek al op 27 juni gemeld aan Microsoft, maar het bedrijf zou er nog niet op hebben gereageerd. Op het moment van schrijven kon Microsoft nog niet inhoudelijk reageren op de bevindingen van Graas.

Beveiligingsexpert Thijs Bosschert nuanceert het 'nieuwe' lek overigens. Volgens hem gaat het om een uitwerking van een lang bestaande bug. "Het probleem zit in de achterliggende systemen, zoals in 2002 al is aangekaart, maar dit wordt niet begrepen door de huidige advisory-schrijvers. Helaas heeft Microsoft in de tussentijd vrijwel niets aan de problemen gedaan en zijn deze aanvallen dus nog steeds mogelijk."